《信息系统安全等级保护实施指南介绍》由会员分享,可在线阅读,更多相关《信息系统安全等级保护实施指南介绍(108页珍藏版)》请在金锄头文库上搜索。
1、 信息系统安全等级保护信息系统安全等级保护实施指南介绍实施指南介绍 9/21/20249/21/20241 1目录概述概述等级保护的实施过程等级保护的实施过程系统定级阶段系统定级阶段安全规划设计阶段安全规划设计阶段安全实施安全实施/实现阶段实现阶段安全运行管理阶段安全运行管理阶段系统中止阶段系统中止阶段9/21/20249/21/20242 2概述背景背景实施指南的作用实施指南的作用实施指南的使用对象实施指南的使用对象与风险管理之间的关系与风险管理之间的关系9/21/20249/21/20243 3概述-背景背景19941994年,年,年,年, 中华人民共和国计算机信息系统安全保护条中华人民共
2、和国计算机信息系统安全保护条中华人民共和国计算机信息系统安全保护条中华人民共和国计算机信息系统安全保护条例的发布例的发布例的发布例的发布19991999年,计算机信息系统安全保护等级划分准则年,计算机信息系统安全保护等级划分准则年,计算机信息系统安全保护等级划分准则年,计算机信息系统安全保护等级划分准则 GB17859-1999GB17859-1999发布发布发布发布 _ _年,中央办公厅、国务院办公厅转发国家信息化年,中央办公厅、国务院办公厅转发国家信息化年,中央办公厅、国务院办公厅转发国家信息化年,中央办公厅、国务院办公厅转发国家信息化领导小组关于加强信息安全保障工作的意见领导小组关于加强
3、信息安全保障工作的意见领导小组关于加强信息安全保障工作的意见领导小组关于加强信息安全保障工作的意见(27(27号文号文号文号文) ) _ _年,四部委联合签发了关于信息安全等级保护工年,四部委联合签发了关于信息安全等级保护工年,四部委联合签发了关于信息安全等级保护工年,四部委联合签发了关于信息安全等级保护工作的实施意见作的实施意见作的实施意见作的实施意见 (66(66号文号文号文号文) )9/21/20249/21/20244 4概述-背景(续)背景(续)在在在在“ “6666号文号文号文号文” ”的职责分工和工作要求中指出:的职责分工和工作要求中指出:的职责分工和工作要求中指出:的职责分工和
4、工作要求中指出:信息和信息系统的运营、使用单位按照等级保护的信息和信息系统的运营、使用单位按照等级保护的信息和信息系统的运营、使用单位按照等级保护的信息和信息系统的运营、使用单位按照等级保护的管理规范管理规范管理规范管理规范和技术标准和技术标准和技术标准和技术标准,确定其信息和信息系统的安全保护等级,确定其信息和信息系统的安全保护等级,确定其信息和信息系统的安全保护等级,确定其信息和信息系统的安全保护等级信息和信息系统的运营、使用单位按照等级保护的信息和信息系统的运营、使用单位按照等级保护的信息和信息系统的运营、使用单位按照等级保护的信息和信息系统的运营、使用单位按照等级保护的管理规范管理规范
5、管理规范管理规范和技术标准和技术标准和技术标准和技术标准对新建、改建、扩建的信息系统进行信息系统的对新建、改建、扩建的信息系统进行信息系统的对新建、改建、扩建的信息系统进行信息系统的对新建、改建、扩建的信息系统进行信息系统的安全规划设计、安全建设施工安全规划设计、安全建设施工安全规划设计、安全建设施工安全规划设计、安全建设施工信息和信息系统的运营、使用单位及其主管部门按照与信息信息和信息系统的运营、使用单位及其主管部门按照与信息信息和信息系统的运营、使用单位及其主管部门按照与信息信息和信息系统的运营、使用单位及其主管部门按照与信息系统安全保护等级相对应的系统安全保护等级相对应的系统安全保护等级
6、相对应的系统安全保护等级相对应的管理规范和技术标准管理规范和技术标准管理规范和技术标准管理规范和技术标准的要求,定的要求,定的要求,定的要求,定期进行安全状况检测评估期进行安全状况检测评估期进行安全状况检测评估期进行安全状况检测评估国家指定信息安全监管职能部门按照等级保护的国家指定信息安全监管职能部门按照等级保护的国家指定信息安全监管职能部门按照等级保护的国家指定信息安全监管职能部门按照等级保护的管理规范和管理规范和管理规范和管理规范和技术标准技术标准技术标准技术标准的要求,对信息和信息系统的安全等级保护状况进的要求,对信息和信息系统的安全等级保护状况进的要求,对信息和信息系统的安全等级保护状
7、况进的要求,对信息和信息系统的安全等级保护状况进行监督检查行监督检查行监督检查行监督检查9/21/20249/21/20245 5概述-背景背景(续)(续)管理规范和技术标准的作用管理规范和技术标准的作用主管部门主管部门监督检查监督检查信息安全监信息安全监管职能部门管职能部门系统定级系统定级安全保护安全保护检测评估检测评估运营运营使用单位使用单位安全服务商安全服务商安全评估机构安全评估机构技术标准技术标准管理规范管理规范9/21/20249/21/20246 6概述-背景背景(续)(续)主要的管理规范和技术标准主要的管理规范和技术标准管理规范管理规范管理规范管理规范信息安全等级保护管理办法信息
8、安全等级保护管理办法信息安全等级保护管理办法信息安全等级保护管理办法 技术标准技术标准技术标准技术标准信息系统安全等级保护实施指南信息系统安全等级保护实施指南信息系统安全等级保护实施指南信息系统安全等级保护实施指南信息系统安全保护等级定级指南信息系统安全保护等级定级指南信息系统安全保护等级定级指南信息系统安全保护等级定级指南信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护测评准则信息系统安全等级保护测评准则信息系统安全等级保护测评准则信息系统安全等级保护测评准则信息系统安全等级保护监督检查指南信息系统安全等级保
9、护监督检查指南信息系统安全等级保护监督检查指南信息系统安全等级保护监督检查指南 9/21/20249/21/20247 7概述-实施指南的作用实施指南的作用是信息系统实施等级保护的指南性文件。是信息系统实施等级保护的指南性文件。作为等级保护标准体系的指引文档。作为等级保护标准体系的指引文档。贯穿整个等级保护工作的所有阶段,规贯穿整个等级保护工作的所有阶段,规范和指导所有的安全活动。范和指导所有的安全活动。介绍信息系统实施等级保护的方法,不介绍信息系统实施等级保护的方法,不同的角色在不同阶段的作用。同的角色在不同阶段的作用。9/21/20249/21/20248 8概述-实施指南的使用对象实施指
10、南的使用对象本指南的使用对象是:本指南的使用对象是:信息系统的主管单位;信息系统的主管单位;信息系统的主管单位;信息系统的主管单位;信息系统运营、使用单位;信息系统运营、使用单位;信息系统运营、使用单位;信息系统运营、使用单位;信息系统安全服务商;信息系统安全服务商;信息系统安全服务商;信息系统安全服务商;信息安全监管机构;信息安全监管机构;信息安全监管机构;信息安全监管机构;安全测评机构;安全测评机构;安全测评机构;安全测评机构;安全产品供应商安全产品供应商安全产品供应商安全产品供应商 。9/21/20249/21/20249 9概述-与风险管理之间的关系与风险管理之间的关系相同点相同点相同
11、点相同点都是对活动过程的管理;都是对活动过程的管理;都是对活动过程的管理;都是对活动过程的管理;都阐明了对信息系统整个生命周期的管理。都阐明了对信息系统整个生命周期的管理。都阐明了对信息系统整个生命周期的管理。都阐明了对信息系统整个生命周期的管理。不同点不同点不同点不同点风险管理方法以风险管理方法以风险管理方法以风险管理方法以“ “风险风险风险风险” ”控制为核心,描述了风控制为核心,描述了风控制为核心,描述了风控制为核心,描述了风险管理的主要活动过程;险管理的主要活动过程;险管理的主要活动过程;险管理的主要活动过程;信息系统实施等级保护的思路是首先根据信息系信息系统实施等级保护的思路是首先根
12、据信息系信息系统实施等级保护的思路是首先根据信息系信息系统实施等级保护的思路是首先根据信息系统定级方法对信息系统进行定级,根据安全级别统定级方法对信息系统进行定级,根据安全级别统定级方法对信息系统进行定级,根据安全级别统定级方法对信息系统进行定级,根据安全级别确定基本安全保护措施,通过风险分析补充其它确定基本安全保护措施,通过风险分析补充其它确定基本安全保护措施,通过风险分析补充其它确定基本安全保护措施,通过风险分析补充其它需要的安全措施,构成等级保护安全设计方案,需要的安全措施,构成等级保护安全设计方案,需要的安全措施,构成等级保护安全设计方案,需要的安全措施,构成等级保护安全设计方案,并依
13、据方案进行安全工程实施。并依据方案进行安全工程实施。并依据方案进行安全工程实施。并依据方案进行安全工程实施。9/21/20249/21/20241010概述-与风险管理之间的关系(续)与风险管理之间的关系(续)二者之间关系二者之间关系二者之间关系二者之间关系 在对信息系统实施等级保护的过程中,风险在对信息系统实施等级保护的过程中,风险在对信息系统实施等级保护的过程中,风险在对信息系统实施等级保护的过程中,风险管理是一种辅助手段。等级保护的相关标准对不同级别管理是一种辅助手段。等级保护的相关标准对不同级别管理是一种辅助手段。等级保护的相关标准对不同级别管理是一种辅助手段。等级保护的相关标准对不同
14、级别的信息系统提出了基本保护要求,基本保护要求是系统的信息系统提出了基本保护要求,基本保护要求是系统的信息系统提出了基本保护要求,基本保护要求是系统的信息系统提出了基本保护要求,基本保护要求是系统安全建设的基础,但是不同的信息系统由于其本身的特安全建设的基础,但是不同的信息系统由于其本身的特安全建设的基础,但是不同的信息系统由于其本身的特安全建设的基础,但是不同的信息系统由于其本身的特性,除基本保护要求外,可以通过风险管理中风险分析性,除基本保护要求外,可以通过风险管理中风险分析性,除基本保护要求外,可以通过风险管理中风险分析性,除基本保护要求外,可以通过风险管理中风险分析的方法选择需要补充的
15、安全措施,从而使得系统的等级的方法选择需要补充的安全措施,从而使得系统的等级的方法选择需要补充的安全措施,从而使得系统的等级的方法选择需要补充的安全措施,从而使得系统的等级保护更加个性化。保护更加个性化。保护更加个性化。保护更加个性化。9/21/20249/21/20241111等级保护的基本实施过程等级保护的基本实施过程基本实施过程基本实施过程与信息系统生命周期之间的关系与信息系统生命周期之间的关系重要概念重要概念9/21/20249/21/20241212等级保护的基本实施过程重大变更重大变更局部调整局部调整系统定级系统定级安全规划设计安全规划设计安全实施安全实施/ /实现实现安全运行管理
16、安全运行管理系统终止系统终止9/21/20249/21/20241313与信息系统生命周期之间的关系新建信息系统新建信息系统新建信息系统等级保护实施过程新建信息系统等级保护实施过程信息系统生命周期信息系统生命周期安全运行管理安全运行管理(变更管理(变更管理/ /定期安全测定期安全测评评/ /监督检查)监督检查)系统系统定级定级安全规安全规划设计划设计安全安全实施实施系统系统终止终止设计开设计开发阶段发阶段运行维护阶段运行维护阶段启动启动阶段阶段实施实施阶段阶段中止中止阶段阶段9/21/20249/21/20241414与信息系统生命周期之间的关系已建信息系统已建信息系统已经存在的信息系统,通常
17、处于系统运行维护阶段已经存在的信息系统,通常处于系统运行维护阶段已经存在的信息系统,通常处于系统运行维护阶段已经存在的信息系统,通常处于系统运行维护阶段; ;安全等级保护实施过程中的系统定级阶段、安全规划安全等级保护实施过程中的系统定级阶段、安全规划安全等级保护实施过程中的系统定级阶段、安全规划安全等级保护实施过程中的系统定级阶段、安全规划设计阶段、安全实施设计阶段、安全实施设计阶段、安全实施设计阶段、安全实施/ /实现阶段和系统终止等的主要实现阶段和系统终止等的主要实现阶段和系统终止等的主要实现阶段和系统终止等的主要活动都将在信息系统生命周期的系统运行维护阶段完活动都将在信息系统生命周期的系
18、统运行维护阶段完活动都将在信息系统生命周期的系统运行维护阶段完活动都将在信息系统生命周期的系统运行维护阶段完成。成。成。成。9/21/20249/21/20241515主要阶段和主要活动重要概念重要概念重要概念重要概念阶段主要活动阶段主要活动主要活动过程主要活动过程阶段阶段工作内容工作内容过程目标过程目标输入输入输出输出活动目标活动目标阶段目标阶段目标参与角色参与角色主要工主要工作内容作内容主要活动过程主要活动过程实施流程实施流程/主要活动主要活动主要参考标准主要参考标准9/21/20249/21/20241616实施等级保护的主要阶段第一阶段:系统定级第一阶段:系统定级第二阶段:安全规划设计
19、第二阶段:安全规划设计第三阶段:安全实施第三阶段:安全实施/实现实现第四阶段:安全运行管理第四阶段:安全运行管理第五阶段:系统终止第五阶段:系统终止9/21/20249/21/20241717第一阶段:系统定级定级方法定级方法参与角色和职责参与角色和职责实施流程实施流程阶段主要活动阶段主要活动9/21/20249/21/20241818系统定级阶段-定级方法定级方法第一种方法:根据经验直接定级第一种方法:根据经验直接定级第二种方法:按照标准定级第二种方法:按照标准定级第三种方法:制定方法自行定级第三种方法:制定方法自行定级 如采用第二种定级方法则可以参考如采用第二种定级方法则可以参考如采用第二
20、种定级方法则可以参考如采用第二种定级方法则可以参考实施指南实施指南实施指南实施指南系统定级阶段相关活动内容。系统定级阶段相关活动内容。系统定级阶段相关活动内容。系统定级阶段相关活动内容。 9/21/20249/21/20241919系统定级阶段-参与角色和职责参与角色和职责信息系统运营、使用单位:负责选择定信息系统运营、使用单位:负责选择定级方法级方法确定其信息系统的安全等级,并报确定其信息系统的安全等级,并报确定其信息系统的安全等级,并报确定其信息系统的安全等级,并报其主管部门审批同意;对安全等级在三级其主管部门审批同意;对安全等级在三级其主管部门审批同意;对安全等级在三级其主管部门审批同意
21、;对安全等级在三级以上的信息系统,报送本地区地市级公安以上的信息系统,报送本地区地市级公安以上的信息系统,报送本地区地市级公安以上的信息系统,报送本地区地市级公安机关备案。机关备案。机关备案。机关备案。 信息系统主管部门:信息系统主管部门:对下属单位确定的信对下属单位确定的信对下属单位确定的信对下属单位确定的信息系统安全等级进行审批。息系统安全等级进行审批。息系统安全等级进行审批。息系统安全等级进行审批。 信息系统安全服务商:信息系统安全服务商:协助信息系统运营、协助信息系统运营、协助信息系统运营、协助信息系统运营、使用单位完成与信息系统定级相关的工作。使用单位完成与信息系统定级相关的工作。使
22、用单位完成与信息系统定级相关的工作。使用单位完成与信息系统定级相关的工作。 9/21/20249/21/20242020系统定级阶段-实施流程实施流程主要输入主要输入主要输出主要输出阶段主要活动阶段主要活动子系统识别和描述子系统识别和描述系统立项文档系统立项文档系统建设文档系统建设文档系统管理文档系统管理文档系统详细描述文件系统详细描述文件系统识别与划分系统识别与划分系统总体描述文件系统总体描述文件系统总体描述文件系统总体描述文件安全等级确定安全等级确定系统总体描述文件系统总体描述文件系统详细描述文件系统详细描述文件系统安全保护等级系统安全保护等级定级建议书定级建议书9/21/20249/21
23、/20242121系统定级阶段-系统识别和划分系统识别和划分过程目标过程目标收集有关信息系统的信息;收集有关信息系统的信息;收集有关信息系统的信息;收集有关信息系统的信息;在对信息进行综合分析的基础上将组织在对信息进行综合分析的基础上将组织在对信息进行综合分析的基础上将组织在对信息进行综合分析的基础上将组织机构内运行的信息系统合理地分解成若机构内运行的信息系统合理地分解成若机构内运行的信息系统合理地分解成若机构内运行的信息系统合理地分解成若干个信息系统;干个信息系统;干个信息系统;干个信息系统;针对目标信息系统,形成信息系统的总针对目标信息系统,形成信息系统的总针对目标信息系统,形成信息系统的
24、总针对目标信息系统,形成信息系统的总体描述性文档。体描述性文档。体描述性文档。体描述性文档。输入输入信息系统的立项、建设、管理文档信息系统的立项、建设、管理文档信息系统的立项、建设、管理文档信息系统的立项、建设、管理文档9/21/20249/21/20242222系统定级阶段-系统识别和划分系统识别和划分( (续续) )输出输出信息系统总体描述文件信息系统总体描述文件信息系统总体描述文件信息系统总体描述文件主要工作内容主要工作内容识别单位的基本信息识别单位的基本信息识别单位的基本信息识别单位的基本信息识别信息系统的管理框架识别信息系统的管理框架识别信息系统的管理框架识别信息系统的管理框架识别信
25、息系统的网络边界及设备部署识别信息系统的网络边界及设备部署识别信息系统的网络边界及设备部署识别信息系统的网络边界及设备部署识别信息系统的业务种类和特性识别信息系统的业务种类和特性识别信息系统的业务种类和特性识别信息系统的业务种类和特性识别用户范围和用户类型识别用户范围和用户类型识别用户范围和用户类型识别用户范围和用户类型划分方法的选择划分方法的选择划分方法的选择划分方法的选择形成信息系统总体描述文档形成信息系统总体描述文档形成信息系统总体描述文档形成信息系统总体描述文档9/21/20249/21/20242323系统定级阶段-系统识别和划分系统识别和划分( (续续) )信息系统划分方法信息系统
26、划分方法从组织管理角度划分从组织管理角度划分从组织管理角度划分从组织管理角度划分从业务类型角度划分从业务类型角度划分从业务类型角度划分从业务类型角度划分从物理区域或运行环境角度划分从物理区域或运行环境角度划分从物理区域或运行环境角度划分从物理区域或运行环境角度划分9/21/20249/21/20242424系统定级阶段-业务子系统识别和描述业务子系统识别和描述过程目标过程目标如果某一个信息系统中包含多个业务子系统,识别如果某一个信息系统中包含多个业务子系统,识别如果某一个信息系统中包含多个业务子系统,识别如果某一个信息系统中包含多个业务子系统,识别出主要的业务子系统;出主要的业务子系统;出主要
27、的业务子系统;出主要的业务子系统;对主要业务子系统的安全属性进行识别和描述。对主要业务子系统的安全属性进行识别和描述。对主要业务子系统的安全属性进行识别和描述。对主要业务子系统的安全属性进行识别和描述。输入输入信息系统详细描述文件信息系统详细描述文件信息系统详细描述文件信息系统详细描述文件 9/21/20249/21/20242525系统定级阶段-业务子系统识别和描述业务子系统识别和描述输出输出信息系统详细描述文件信息系统详细描述文件信息系统详细描述文件信息系统详细描述文件主要工作内容主要工作内容识别各业务子系统处理的信息类型识别各业务子系统处理的信息类型识别各业务子系统处理的信息类型识别各业
28、务子系统处理的信息类型识别各业务子系统的服务范围识别各业务子系统的服务范围识别各业务子系统的服务范围识别各业务子系统的服务范围识别各项业务对系统的依赖程度识别各项业务对系统的依赖程度识别各项业务对系统的依赖程度识别各项业务对系统的依赖程度形成信息系统和业务子系统的详细描述文形成信息系统和业务子系统的详细描述文形成信息系统和业务子系统的详细描述文形成信息系统和业务子系统的详细描述文档档档档9/21/20249/21/20242626系统定级阶段-安全等级确定安全等级确定过程目标过程目标过程目标过程目标依依依依据据据据信信信信息息息息系系系系统统统统安安安安全全全全保保保保护护护护等等等等级级级级
29、定定定定级级级级指指指指南南南南确确确确定定定定每每每每个业务子系统的安全保护等级;个业务子系统的安全保护等级;个业务子系统的安全保护等级;个业务子系统的安全保护等级;由由由由所所所所包包包包括括括括的的的的各各各各业业业业务务务务子子子子系系系系统统统统的的的的最最最最高高高高等等等等级级级级决决决决定定定定信信信信息息息息系系系系统的安全保护等级;统的安全保护等级;统的安全保护等级;统的安全保护等级;对对对对定定定定级级级级过过过过程程程程文文文文档档档档进进进进行行行行整整整整理理理理,形形形形成成成成文文文文件件件件化化化化的的的的信信信信息息息息系系系系统定级建议书。统定级建议书。统
30、定级建议书。统定级建议书。输入输入输入输入信息系统总体描述文件信息系统总体描述文件信息系统总体描述文件信息系统总体描述文件信息系统详细描述文件信息系统详细描述文件信息系统详细描述文件信息系统详细描述文件9/21/20249/21/20242727系统定级阶段-安全等级确定安全等级确定输出输出信息系统安全保护等级定级建议书信息系统安全保护等级定级建议书信息系统安全保护等级定级建议书信息系统安全保护等级定级建议书主要工作内容主要工作内容各业务子系统安全保护等级确定各业务子系统安全保护等级确定各业务子系统安全保护等级确定各业务子系统安全保护等级确定信息系统安全保护等级确定信息系统安全保护等级确定信息
31、系统安全保护等级确定信息系统安全保护等级确定安全保护等级的调整安全保护等级的调整安全保护等级的调整安全保护等级的调整定级结果文档化定级结果文档化定级结果文档化定级结果文档化9/21/20249/21/20242828第二阶段:安全规划设计阶段阶段目标阶段目标参与角色和职责参与角色和职责实施流程实施流程阶段主要活动阶段主要活动9/21/20249/21/20242929安全规划设计-阶段目标阶段目标通过安全评估和需求分析判断信息系统的安全保护通过安全评估和需求分析判断信息系统的安全保护通过安全评估和需求分析判断信息系统的安全保护通过安全评估和需求分析判断信息系统的安全保护现状与等级保护基本要求之
32、间的差距,确定安全需求,现状与等级保护基本要求之间的差距,确定安全需求,现状与等级保护基本要求之间的差距,确定安全需求,现状与等级保护基本要求之间的差距,确定安全需求,然后根据信息系统的划分情况、信息系统的定级情况、然后根据信息系统的划分情况、信息系统的定级情况、然后根据信息系统的划分情况、信息系统的定级情况、然后根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况和安全需求等,设计合理的、满信息系统承载业务情况和安全需求等,设计合理的、满信息系统承载业务情况和安全需求等,设计合理的、满信息系统承载业务情况和安全需求等,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计
33、足等级保护要求的总体安全方案,并制定出安全实施计足等级保护要求的总体安全方案,并制定出安全实施计足等级保护要求的总体安全方案,并制定出安全实施计划等,以指导后续的信息系统安全建设工程实施。划等,以指导后续的信息系统安全建设工程实施。划等,以指导后续的信息系统安全建设工程实施。划等,以指导后续的信息系统安全建设工程实施。9/21/20249/21/20243030安全规划设计-参与角色和职责参与角色和职责信息系统运营、使用单位:根据已经确定的安全等级,信息系统运营、使用单位:根据已经确定的安全等级,信息系统运营、使用单位:根据已经确定的安全等级,信息系统运营、使用单位:根据已经确定的安全等级,按
34、照等级保护的管理规范和技术标准,进行信息系统按照等级保护的管理规范和技术标准,进行信息系统按照等级保护的管理规范和技术标准,进行信息系统按照等级保护的管理规范和技术标准,进行信息系统的安全规划设计。的安全规划设计。的安全规划设计。的安全规划设计。 信息系统安全服务商:根据信息系统运营、使用单位信息系统安全服务商:根据信息系统运营、使用单位信息系统安全服务商:根据信息系统运营、使用单位信息系统安全服务商:根据信息系统运营、使用单位的委托,按照等级保护的管理规范和技术标准,协助的委托,按照等级保护的管理规范和技术标准,协助的委托,按照等级保护的管理规范和技术标准,协助的委托,按照等级保护的管理规范
35、和技术标准,协助信息系统运营、使用单位完成信息系统安全规划设计信息系统运营、使用单位完成信息系统安全规划设计信息系统运营、使用单位完成信息系统安全规划设计信息系统运营、使用单位完成信息系统安全规划设计工作。工作。工作。工作。 9/21/20249/21/20243131安全规划设计-实施流程实施流程主要输入主要输入主要输出主要输出阶段主要活动阶段主要活动安全评估和需求分析安全评估和需求分析系统详细描述文件系统详细描述文件系统定级建议书系统定级建议书等级保护基本要求等级保护基本要求安全评估报告安全评估报告安全需求分析报告安全需求分析报告安全总体设计安全总体设计 安全总体方案书安全总体方案书技术防
36、护框架技术防护框架管理策略框架管理策略框架安全建设规划安全建设规划 总体安全策略总体安全策略/框架框架单位信息化的中长单位信息化的中长期规划期规划信息系统安全建设信息系统安全建设方案方案安全评估报告安全评估报告安全需求分析报告安全需求分析报告等级保护基本要求等级保护基本要求9/21/20249/21/20243232阶段主要活动- 1.1.安全评估和需求分析安全评估和需求分析活动目标活动目标活动目标活动目标通过系统调查和安全评估了解系统目前的安全现通过系统调查和安全评估了解系统目前的安全现通过系统调查和安全评估了解系统目前的安全现通过系统调查和安全评估了解系统目前的安全现状;状;状;状;评估系
37、统已经采用的或将要采用的保护措施和等评估系统已经采用的或将要采用的保护措施和等评估系统已经采用的或将要采用的保护措施和等评估系统已经采用的或将要采用的保护措施和等级保护安全要求之间的差距,这种差距作为系统级保护安全要求之间的差距,这种差距作为系统级保护安全要求之间的差距,这种差距作为系统级保护安全要求之间的差距,这种差距作为系统的一种安全需求;的一种安全需求;的一种安全需求;的一种安全需求;了解系统额外的安全需求;了解系统额外的安全需求;了解系统额外的安全需求;了解系统额外的安全需求;明确系统的完整安全需求。明确系统的完整安全需求。明确系统的完整安全需求。明确系统的完整安全需求。主要参考标准主
38、要参考标准主要参考标准主要参考标准 信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护测评准则信息系统安全等级保护测评准则信息系统安全等级保护测评准则信息系统安全等级保护测评准则GB/T xxxxx-2006 GB/T xxxxx-2006 信息系统安全通用技术要求信息系统安全通用技术要求信息系统安全通用技术要求信息系统安全通用技术要求信息安全风险评估指南信息安全风险评估指南信息安全风险评估指南信息安全风险评估指南9/21/20249/21/20243333阶段主要活动- 1.1.安全评估和需求分析安全评估和需求
39、分析主要活动过程主要活动过程评估对象和评估方法的明确;评估对象和评估方法的明确;评估对象和评估方法的明确;评估对象和评估方法的明确;评估指标体系的选择和确定;评估指标体系的选择和确定;评估指标体系的选择和确定;评估指标体系的选择和确定;系统现状与评估指标的对比;系统现状与评估指标的对比;系统现状与评估指标的对比;系统现状与评估指标的对比;特殊安全要求的确定。特殊安全要求的确定。特殊安全要求的确定。特殊安全要求的确定。9/21/20249/21/20243434阶段主要活动- 1.1.安全评估和需求分析安全评估和需求分析评估对象和评估方法的明确评估对象和评估方法的明确确定评估范围确定评估范围 获
40、得信息系统的信息获得信息系统的信息 确定具体的评估对象确定具体的评估对象 确定评估工作的方法确定评估工作的方法 制定评估工作计划制定评估工作计划 系统详细描述文件系统详细描述文件系统定级建议书系统定级建议书用户文档用户文档输入输入输出输出过程的工作内容过程的工作内容评估工作方案评估工作方案9/21/20249/21/20243535阶段主要活动- 1.1.安全评估和需求分析安全评估和需求分析评估指标体系的选择和确定评估指标体系的选择和确定选择基本评估指标选择基本评估指标 评估对象威胁分析评估对象威胁分析系统详细描述文件系统详细描述文件系统定级建议书系统定级建议书等级保护基本要求等级保护基本要求
41、评估工作方案评估工作方案输入输入输出输出过程的工作内容过程的工作内容安全评估方案安全评估方案落实评估对象的评估指标落实评估对象的评估指标制定评估方案制定评估方案9/21/20249/21/20243636阶段主要活动- 1.1.安全评估和需求分析安全评估和需求分析安全现状与评估指标对比安全现状与评估指标对比管理指标符合性评估管理指标符合性评估 技术技术指标符合性测评指标符合性测评系统详细描述文件系统详细描述文件评估工作方案评估工作方案安全评估方案安全评估方案输入输入输出输出过程的工作内容过程的工作内容符合性评估结果符合性评估结果9/21/20249/21/20243737重要资产特殊安全要求的
42、确定重要资产特殊安全要求的确定重要资产分析重要资产分析 重要资产弱点评估重要资产弱点评估系统详细描述文件系统详细描述文件评估结果记录评估结果记录用户需求文档用户需求文档输入输入输出输出过程的工作内容过程的工作内容风险评估结果风险评估结果特殊安全要求特殊安全要求重要资产威胁评估重要资产威胁评估重要资产风险评估重要资产风险评估阶段主要活动- 1.1.安全评估和需求分析安全评估和需求分析9/21/20249/21/20243838阶段主要活动- 2.2.安全总体设计安全总体设计活动目标活动目标活动目标活动目标根据等级保护基本安全要求和系统的特殊要求,从被评估根据等级保护基本安全要求和系统的特殊要求,
43、从被评估根据等级保护基本安全要求和系统的特殊要求,从被评估根据等级保护基本安全要求和系统的特殊要求,从被评估单位全局考虑设计系统的整体安全框架;单位全局考虑设计系统的整体安全框架;单位全局考虑设计系统的整体安全框架;单位全局考虑设计系统的整体安全框架;提出各信息系统在总体方面的策略要求、应实现的安全技提出各信息系统在总体方面的策略要求、应实现的安全技提出各信息系统在总体方面的策略要求、应实现的安全技提出各信息系统在总体方面的策略要求、应实现的安全技术措施和安全管理措施等;术措施和安全管理措施等;术措施和安全管理措施等;术措施和安全管理措施等;形成用于指导系统进行安全建设的安全总体方案。形成用于
44、指导系统进行安全建设的安全总体方案。形成用于指导系统进行安全建设的安全总体方案。形成用于指导系统进行安全建设的安全总体方案。主要参考标准主要参考标准主要参考标准主要参考标准信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求GB/T xxxxx-2006 GB/T xxxxx-2006 信息系统安全通用技术要求信息系统安全通用技术要求信息系统安全通用技术要求信息系统安全通用技术要求GB/T xxxxx-2006 GB/T xxxxx-2006 操作系统安全技术要求操作系统安全技术要求操作系统安全技术要求操作系统安全技术要求GB/T x
45、xxxx-2006 GB/T xxxxx-2006 数据库管理系统安全技术要求数据库管理系统安全技术要求数据库管理系统安全技术要求数据库管理系统安全技术要求GB/T 19716-2005 GB/T 19716-2005 信息安全管理实用规则信息安全管理实用规则信息安全管理实用规则信息安全管理实用规则IATF3.0 IATF3.0 信息保障技术框架信息保障技术框架信息保障技术框架信息保障技术框架9/21/20249/21/20243939阶段主要活动- 2.2.安全总体设计安全总体设计主要活动过程主要活动过程系统等级化模型处理系统等级化模型处理系统等级化模型处理系统等级化模型处理总体安全策略设计
46、总体安全策略设计总体安全策略设计总体安全策略设计 各级系统安全技术措施设计各级系统安全技术措施设计各级系统安全技术措施设计各级系统安全技术措施设计单位整体安全管理策略设计单位整体安全管理策略设计单位整体安全管理策略设计单位整体安全管理策略设计设计结果文档化设计结果文档化设计结果文档化设计结果文档化9/21/20249/21/20244040阶段主要活动- 2.2.安全总体设计安全总体设计系统等级化模型处理系统等级化模型处理信息系统构成抽象处理信息系统构成抽象处理骨干网抽象处理骨干网抽象处理系统详细描述文件系统详细描述文件符合性评估结果符合性评估结果风险评估结果风险评估结果特殊安全要求特殊安全要
47、求输入输入输出输出过程的工作内容过程的工作内容信息系统等级信息系统等级化抽象模型化抽象模型安全域抽象处理安全域抽象处理局域网局域网/边界抽象处理边界抽象处理形成信息系统抽象模型形成信息系统抽象模型9/21/20249/21/20244141阶段主要活动- 2.2.安全总体设计安全总体设计总体安全策略设计总体安全策略设计制定安全方针制定安全方针规定安全策略规定安全策略系统详细描述文件系统详细描述文件安全需求分析报告安全需求分析报告信息系统等级化抽信息系统等级化抽象模型象模型输入输入输出输出过程的工作内容过程的工作内容总体安全策略总体安全策略等级保护模型等级保护模型建立等级化保护模型建立等级化保护
48、模型9/21/20249/21/20244242阶段主要活动- 2.2.安全总体设计安全总体设计各级系统安全技术措施设计各级系统安全技术措施设计骨干网等级保护措施骨干网等级保护措施安全域等级保护措施安全域等级保护措施安全需求分析报告安全需求分析报告信息系统等级保护信息系统等级保护模型模型等级保护基本要求等级保护基本要求特殊安全要求特殊安全要求输入输入输出输出过程的工作内容过程的工作内容信息系统技术信息系统技术防护框架防护框架等级系统边界防护策略等级系统边界防护策略主机系统主机系统/应用等级保护措施应用等级保护措施机房等物理安全保护措施机房等物理安全保护措施9/21/20249/21/20244
49、343阶段主要活动- 2.2.安全总体设计安全总体设计单位整体安全管理策略设计单位整体安全管理策略设计规定安全管理职责规定安全管理职责规定安全管理策略规定安全管理策略安全需求分析报告安全需求分析报告信息系统等级保护信息系统等级保护模型模型等级保护基本要求等级保护基本要求特殊安全要求特殊安全要求输入输入输出输出过程的工作内容过程的工作内容信息系统安全信息系统安全管理策略框架管理策略框架给定介质给定介质/设备管理策略设备管理策略规定运行安全管理策略规定运行安全管理策略规定安全事件处置和应急管理策略规定安全事件处置和应急管理策略9/21/20249/21/20244444阶段主要活动- 2.2.安全
50、总体设计安全总体设计设计结果文档化设计结果文档化编制安全总体方案书编制安全总体方案书安全需求分析报告安全需求分析报告等级保护模型等级保护模型技术防护框架技术防护框架管理策略框架管理策略框架输入输入输出输出过程的工作内容过程的工作内容安全总体方案安全总体方案书书9/21/20249/21/20244545安全规划设计- 3.3.安全建设规划安全建设规划活动目标活动目标活动目标活动目标将将将将信信信信息息息息系系系系统统统统安安安安全全全全总总总总体体体体方方方方案案案案书书书书规规规规定定定定的的的的内内内内容容容容落落落落实实实实到到到到安全建设项目中;安全建设项目中;安全建设项目中;安全建设
51、项目中;通通通通过过过过对对对对安安安安全全全全项项项项目目目目的的的的相相相相关关关关性性性性、紧紧紧紧迫迫迫迫性性性性、难难难难易易易易程程程程度度度度和和和和预预预预期期期期效效效效果果果果等等等等因因因因素素素素进进进进行行行行分分分分析析析析,确确确确定定定定实实实实施施施施的的的的先先先先后后后后顺序。顺序。顺序。顺序。主要参考标准主要参考标准主要参考标准主要参考标准信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求GB/T xxxxx-2006 GB/T xxxxx-2006 等级保护系列安全产品技术等级保护系列安全产
52、品技术等级保护系列安全产品技术等级保护系列安全产品技术要求要求要求要求GB/T xxxxx-2006 GB/T xxxxx-2006 操作系统安全技术要求操作系统安全技术要求操作系统安全技术要求操作系统安全技术要求GB/T xxxxx-2006 GB/T xxxxx-2006 数据库管理系统安全技术要数据库管理系统安全技术要数据库管理系统安全技术要数据库管理系统安全技术要求求求求9/21/20249/21/20244646安全规划设计- 3.3.安全建设规划安全建设规划主要活动过程主要活动过程安全建设目标确定安全建设目标确定安全建设目标确定安全建设目标确定安全建设内容规划安全建设内容规划安全建
53、设内容规划安全建设内容规划 安全建设方案设计安全建设方案设计安全建设方案设计安全建设方案设计9/21/20249/21/20244747阶段主要活动- 3.3.安全建设规划安全建设规划安全建设目标确定安全建设目标确定收集规划文档收集规划文档调研相关安全需求调研相关安全需求安全总体方案书安全总体方案书单位信息化建设中单位信息化建设中长期发展规划长期发展规划输入输入输出输出过程的工作内容过程的工作内容分阶段建设目分阶段建设目标标调研建设资金准备状况调研建设资金准备状况9/21/20249/21/20244848阶段主要活动- 3.3.安全建设规划安全建设规划安全建设内容规划安全建设内容规划确定主要
54、建设内容确定主要建设内容分类形成建设项目分类形成建设项目安全总体方案书安全总体方案书分阶段安全建设目分阶段安全建设目标标输入输入输出输出过程的工作内容过程的工作内容具体安全建设具体安全建设内容内容9/21/20249/21/20244949阶段主要活动- 3.3.安全建设规划安全建设规划安全建设方案设计安全建设方案设计设计建设顺序设计建设顺序安全总体方案书安全总体方案书分阶段安全建设目分阶段安全建设目标标安全建设内容安全建设内容输入输入输出输出过程的工作内容过程的工作内容系统安全建设系统安全建设方案方案估算各项目投资估算各项目投资编制文档编制文档9/21/20249/21/20245050第三
55、阶段:安全实施/实现阶段阶段目标阶段目标参与角色和职责参与角色和职责实施流程实施流程阶段主要活动阶段主要活动9/21/20249/21/20245151安全实施/实现-阶段目标阶段目标安全实施安全实施/实现的目标是按照信息系统安全总体实现的目标是按照信息系统安全总体方案书的总体要求,结合信息系统安全建设方案,方案书的总体要求,结合信息系统安全建设方案,分期分步落实安全措施。分期分步落实安全措施。 9/21/20249/21/20245252安全实施/实现-参与角色和职责参与角色和职责 主管部门:审批下属单位制定的文件主管部门:审批下属单位制定的文件主管部门:审批下属单位制定的文件主管部门:审批
56、下属单位制定的文件 运营、使用单位:按照等级保护的管理规范和技术运营、使用单位:按照等级保护的管理规范和技术运营、使用单位:按照等级保护的管理规范和技术运营、使用单位:按照等级保护的管理规范和技术标准,进行信息系统的安全建设。标准,进行信息系统的安全建设。标准,进行信息系统的安全建设。标准,进行信息系统的安全建设。 安全服务商:根据信息系统运营、使用单位的委托,安全服务商:根据信息系统运营、使用单位的委托,安全服务商:根据信息系统运营、使用单位的委托,安全服务商:根据信息系统运营、使用单位的委托,协助信息系统运营、使用单位完成信息系统安全建协助信息系统运营、使用单位完成信息系统安全建协助信息系
57、统运营、使用单位完成信息系统安全建协助信息系统运营、使用单位完成信息系统安全建设施工。设施工。设施工。设施工。 安全产品供应商:按照等级保护的管理规范和技术安全产品供应商:按照等级保护的管理规范和技术安全产品供应商:按照等级保护的管理规范和技术安全产品供应商:按照等级保护的管理规范和技术标准,开发符合安全等级保护要求的安全产品标准,开发符合安全等级保护要求的安全产品标准,开发符合安全等级保护要求的安全产品标准,开发符合安全等级保护要求的安全产品 安全测评机构:按照等级保护的管理规范和技术标安全测评机构:按照等级保护的管理规范和技术标安全测评机构:按照等级保护的管理规范和技术标安全测评机构:按照
58、等级保护的管理规范和技术标准,对已经完成安全等级保护建设的信息系统进行准,对已经完成安全等级保护建设的信息系统进行准,对已经完成安全等级保护建设的信息系统进行准,对已经完成安全等级保护建设的信息系统进行检查评估;对安全产品供应商提供的安全产品进行检查评估;对安全产品供应商提供的安全产品进行检查评估;对安全产品供应商提供的安全产品进行检查评估;对安全产品供应商提供的安全产品进行检查评估。检查评估。检查评估。检查评估。 9/21/20249/21/20245353安全实施/实现阶段-实施流程实施流程主要输入主要输入主要输出主要输出阶段主要活动阶段主要活动安全详细方案设计安全详细方案设计安全总体方案
59、书安全总体方案书系统安全建设方案系统安全建设方案安全产品技术白皮书安全产品技术白皮书安全详细设计方案安全详细设计方案安全技术实施安全技术实施 安全测评报告安全测评报告等级化安全测评等级化安全测评安全详细设计方案安全详细设计方案系统定级建议书系统定级建议书系统验收报告系统验收报告系统验收报告系统验收报告安全管理实施安全管理实施 安全详细设计方案安全详细设计方案角色与职责说明书角色与职责说明书 管理制度管理制度/操作规范操作规范9/21/20249/21/20245454阶段主要活动- 1.1.安全详细方案设计安全详细方案设计活动目标活动目标依据信息系统安全建设方案,提出本期依据信息系统安全建设方
60、案,提出本期依据信息系统安全建设方案,提出本期依据信息系统安全建设方案,提出本期实施项目的具体实施方案,包括安全技实施项目的具体实施方案,包括安全技实施项目的具体实施方案,包括安全技实施项目的具体实施方案,包括安全技术实施内容、安全管理实施内容、项目术实施内容、安全管理实施内容、项目术实施内容、安全管理实施内容、项目术实施内容、安全管理实施内容、项目实施计划以及项目经费投入等,以便进实施计划以及项目经费投入等,以便进实施计划以及项目经费投入等,以便进实施计划以及项目经费投入等,以便进行本次项目的实施。行本次项目的实施。行本次项目的实施。行本次项目的实施。9/21/20249/21/202455
61、55阶段主要活动- 1.1.安全详细方案设计安全详细方案设计主要参考标准主要参考标准GB 17859-1999GB 17859-1999 计算机信息系统安全保护等计算机信息系统安全保护等计算机信息系统安全保护等计算机信息系统安全保护等级划分准则级划分准则级划分准则级划分准则信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求GB/T 19716-2005 GB/T 19716-2005 信息安全管理实用规则信息安全管理实用规则信息安全管理实用规则信息安全管理实用规则GB/T xxxxx-2006 GB/T xxxxx-2006 信息系
62、统安全通用技术要信息系统安全通用技术要信息系统安全通用技术要信息系统安全通用技术要求求求求GB/T xxxxx-2006 GB/T xxxxx-2006 等级保护系列安全产品技等级保护系列安全产品技等级保护系列安全产品技等级保护系列安全产品技术要求术要求术要求术要求GB/T xxxxx-2006 GB/T xxxxx-2006 操作系统安全技术要求操作系统安全技术要求操作系统安全技术要求操作系统安全技术要求GB/T xxxxx-2006 GB/T xxxxx-2006 数据库管理系统安全技术数据库管理系统安全技术数据库管理系统安全技术数据库管理系统安全技术要求要求要求要求9/21/20249/
63、21/20245656阶段主要活动- 1.1.安全详细方案设计安全详细方案设计主要活动过程主要活动过程安全技术实施内容设计安全技术实施内容设计安全技术实施内容设计安全技术实施内容设计安全管理实施内容设计安全管理实施内容设计安全管理实施内容设计安全管理实施内容设计设计结果文档化设计结果文档化设计结果文档化设计结果文档化9/21/20249/21/20245757阶段主要活动- 1.1.安全详细方案设计安全详细方案设计安全技术实施内容设计安全技术实施内容设计设计结构框架设计结构框架设计功能要求设计功能要求安全安全总体方案书总体方案书安全建设方案安全建设方案安全产品技术白皮安全产品技术白皮书书输入输
64、入输出输出过程的工作内容过程的工作内容安全技术实施安全技术实施方案方案设计性能指标设计性能指标设计部署方案设计部署方案制定安全策略实现计划制定安全策略实现计划9/21/20249/21/20245858阶段主要活动- 1.1.安全详细方案设计安全详细方案设计安全管理实施内容设计安全管理实施内容设计设置安全管理机构设置安全管理机构配备安全管理人员配备安全管理人员安全安全总体方案书总体方案书安全建设方案安全建设方案输入输入输出输出过程的工作内容过程的工作内容安全管理实施安全管理实施方案方案制定安全管理制度制定安全管理制度培训安全管理技能培训安全管理技能9/21/20249/21/20245959阶
65、段主要活动- 1.1.安全详细方案设计安全详细方案设计安全技术实施内容设计安全技术实施内容设计设置安全管理机构设置安全管理机构配备安全管理人员配备安全管理人员安全安全总体方案书总体方案书安全建设方案安全建设方案输入输入输出输出过程的工作内容过程的工作内容安全管理实施安全管理实施方案方案制定安全管理制度制定安全管理制度培训安全管理技能培训安全管理技能9/21/20249/21/20246060阶段主要活动- 1.1.安全详细方案设计安全详细方案设计设计结果文档化设计结果文档化实施内容汇总实施内容汇总编制文档编制文档安全安全技术实施方案技术实施方案安全管理实施方案安全管理实施方案输入输入输出输出过
66、程的工作内容过程的工作内容安全详细设计安全详细设计方案方案9/21/20249/21/20246161阶段主要活动- 2. 2. 安全管理实施安全管理实施活动目标活动目标活动目标活动目标建立与信息系统安全技术和安全运行相适应的建立与信息系统安全技术和安全运行相适应的建立与信息系统安全技术和安全运行相适应的建立与信息系统安全技术和安全运行相适应的安全管理机制;安全管理机制;安全管理机制;安全管理机制;在本期安全详细设计方案的指导下,建立配套在本期安全详细设计方案的指导下,建立配套在本期安全详细设计方案的指导下,建立配套在本期安全详细设计方案的指导下,建立配套的安全管理机构和人员;的安全管理机构和
67、人员;的安全管理机构和人员;的安全管理机构和人员;建立配套的安全管理制度和操作规程,进行人建立配套的安全管理制度和操作规程,进行人建立配套的安全管理制度和操作规程,进行人建立配套的安全管理制度和操作规程,进行人员的安全技能培训等;员的安全技能培训等;员的安全技能培训等;员的安全技能培训等;保证本期安全实施完成后,安全运行管理有配保证本期安全实施完成后,安全运行管理有配保证本期安全实施完成后,安全运行管理有配保证本期安全实施完成后,安全运行管理有配套的机制。套的机制。套的机制。套的机制。主要参考标准主要参考标准主要参考标准主要参考标准信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系
68、统安全等级保护基本要求信息系统安全等级保护基本要求GB/T 19715.2-2005 ITGB/T 19715.2-2005 IT安全管理指南安全管理指南安全管理指南安全管理指南GB/T 19716-2005 GB/T 19716-2005 信息安全管理实用规则信息安全管理实用规则信息安全管理实用规则信息安全管理实用规则9/21/20249/21/20246262阶段主要活动- 2. 2. 安全管理实施安全管理实施主要活动内容主要活动内容管理机构和人员的设置管理机构和人员的设置管理机构和人员的设置管理机构和人员的设置管理制度的建设和修订管理制度的建设和修订管理制度的建设和修订管理制度的建设和修
69、订人员安全技能培训人员安全技能培训人员安全技能培训人员安全技能培训安全实施过程管理安全实施过程管理安全实施过程管理安全实施过程管理9/21/20249/21/20246363阶段主要活动- 2. 2. 安全管理实施安全管理实施管理机构和人员设置管理机构和人员设置识别安全管理组织成员识别安全管理组织成员识别安全管理角色识别安全管理角色现有管理制度和政现有管理制度和政策文件策文件安全详细设计方案安全详细设计方案输入输入输出输出过程的工作内容过程的工作内容机构机构/角色职责角色职责说明文件说明文件规定各机构和角色职责规定各机构和角色职责9/21/20249/21/20246464阶段主要活动- 2.
70、 2. 安全管理实施安全管理实施管理制度的建设和修订管理制度的建设和修订确定制度的应用范围确定制度的应用范围确定部门、人员职责确定部门、人员职责现有管理制度和政现有管理制度和政策文件策文件安全组织结构表安全组织结构表机构机构/角色职责说角色职责说明文件明文件输入输入输出输出过程的工作内容过程的工作内容各项管理制度各项管理制度和操作规范和操作规范评估并完善现有制度评估并完善现有制度9/21/20249/21/20246565阶段主要活动- 2. 2. 安全管理实施安全管理实施人员安全技能培训人员安全技能培训培训特定岗位技能培训特定岗位技能培训安全意识培训安全意识岗位职责说明岗位职责说明系统系统/
71、产品使用手产品使用手册册各项管理制度和操各项管理制度和操作规程作规程输入输入输出输出过程的工作内容过程的工作内容培训记录培训记录上岗资格证书上岗资格证书考核考核颁发上岗资格证书颁发上岗资格证书9/21/20249/21/20246666阶段主要活动- 2. 2. 安全管理实施安全管理实施安全实施过程管理安全实施过程管理质量管理质量管理进度管理进度管理信息系统等级保护信息系统等级保护建设的各阶段文档建设的各阶段文档输入输入输出输出过程的工作内容过程的工作内容各阶段过程管各阶段过程管理控制记录理控制记录文档管理文档管理/版本控制版本控制变更管理变更管理风险管理风险管理9/21/20249/21/2
72、0246767阶段主要活动- 3. 安全技术实施安全技术实施活动目标活动目标活动目标活动目标保保保保证证证证按按按按照照照照安安安安全全全全详详详详细细细细设设设设计计计计方方方方案案案案实实实实现现现现各各各各项项项项安安安安全全全全技技技技术术术术措施,并确保安全技术措施的有效性。措施,并确保安全技术措施的有效性。措施,并确保安全技术措施的有效性。措施,并确保安全技术措施的有效性。主要参考标准主要参考标准主要参考标准主要参考标准信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求GB/T 19715.2-2005 ITGB/T 1
73、9715.2-2005 IT安全管理指南安全管理指南安全管理指南安全管理指南GB/T 19716-2005 GB/T 19716-2005 信息安全管理实用规则信息安全管理实用规则信息安全管理实用规则信息安全管理实用规则GB/T xxxxx-2006 GB/T xxxxx-2006 信息系统安全通用技术要求信息系统安全通用技术要求信息系统安全通用技术要求信息系统安全通用技术要求GB/T xxxxx-2006 GB/T xxxxx-2006 操作系统安全技术要求操作系统安全技术要求操作系统安全技术要求操作系统安全技术要求GB/T xxxxx-2006 GB/T xxxxx-2006 数据库管理系
74、统安全技术要数据库管理系统安全技术要数据库管理系统安全技术要数据库管理系统安全技术要求求求求GB/T xxxxx-2006 GB/T xxxxx-2006 网络技术要求网络技术要求网络技术要求网络技术要求GB/T xxxxx-2006 GB/T xxxxx-2006 网络脆弱性扫描产品技术要网络脆弱性扫描产品技术要网络脆弱性扫描产品技术要网络脆弱性扫描产品技术要求求求求9/21/20249/21/20246868阶段主要活动- 3.安全技术实施安全技术实施主要活动过程主要活动过程安全产品采购安全产品采购安全产品采购安全产品采购安全控制开发安全控制开发安全控制开发安全控制开发安全控制集成安全控制
75、集成安全控制集成安全控制集成测试与验收测试与验收测试与验收测试与验收9/21/20249/21/20246969阶段主要活动- 3.安全技术实施安全技术实施安全产品采购安全产品采购制定产品采购说明书制定产品采购说明书选择入围产品选择入围产品安全设计详细方案安全设计详细方案相关产品信息相关产品信息输入输入输出输出过程的工作内容过程的工作内容已采购安全产已采购安全产品清单品清单产品招标产品招标9/21/20249/21/20247070阶段主要活动- 3.安全技术实施安全技术实施安全控制开发安全控制开发安全措施需求分析安全措施需求分析概要设计概要设计安全设计详细方案安全设计详细方案输入输入输出输出
76、过程的工作内容过程的工作内容安全控制开发安全控制开发过程相关文档过程相关文档详细设计详细设计编码实现编码实现测试测试9/21/20249/21/20247171阶段主要活动- 3.安全技术实施安全技术实施安全控制集成安全控制集成制定集成实施方案制定集成实施方案实施集成实施集成安全设计详细方案安全设计详细方案输入输入输出输出过程的工作内容过程的工作内容安全控制集成安全控制集成报告报告阶段集成测试阶段集成测试产品和维护培训产品和维护培训9/21/20249/21/20247272阶段主要活动- 3.安全技术实施安全技术实施测试与验收测试与验收测试系统功能和性能测试系统功能和性能测试运行可靠性测试运
77、行可靠性安全设计详细方案安全设计详细方案安全控制集成报告安全控制集成报告输入输入输出输出过程的工作内容过程的工作内容系统测试报告系统测试报告系统验收报告系统验收报告测评安全管理实施测评安全管理实施系统验收系统验收系统交付系统交付9/21/20249/21/20247373阶段主要活动- 3.安全技术实施安全技术实施等级化安全测评等级化安全测评测试系统功能和性能测试系统功能和性能测试运行可靠性测试运行可靠性安全设计详细方案安全设计详细方案安全控制集成报告安全控制集成报告输入输入输出输出过程的工作内容过程的工作内容系统测试报告系统测试报告系统验收报告系统验收报告测评安全管理实施测评安全管理实施系统
78、验收系统验收系统交付系统交付9/21/20249/21/20247474阶段主要活动- 4.等级化安全测评等级化安全测评过程目标过程目标通过安全测评机构对已经完成安全等级保通过安全测评机构对已经完成安全等级保通过安全测评机构对已经完成安全等级保通过安全测评机构对已经完成安全等级保护建设的信息系统进行测评,确保信息系护建设的信息系统进行测评,确保信息系护建设的信息系统进行测评,确保信息系护建设的信息系统进行测评,确保信息系统的安全保护措施符合相应等级的安全要统的安全保护措施符合相应等级的安全要统的安全保护措施符合相应等级的安全要统的安全保护措施符合相应等级的安全要求。求。求。求。 主要参考标准主
79、要参考标准信息安全等级保护测评准则信息安全等级保护测评准则信息安全等级保护测评准则信息安全等级保护测评准则信息安全等级保护基本要求信息安全等级保护基本要求信息安全等级保护基本要求信息安全等级保护基本要求9/21/20249/21/20247575阶段主要活动- 4.等级化安全测评输入输入信息系统安全保护等级定级报告信息系统安全保护等级定级报告信息系统安全保护等级定级报告信息系统安全保护等级定级报告系统验收报告系统验收报告系统验收报告系统验收报告 输出输出安全等级保护测评报告安全等级保护测评报告安全等级保护测评报告安全等级保护测评报告主要工作内容主要工作内容参见参见参见参见信息系统安全等级保护测
80、评准则信息系统安全等级保护测评准则信息系统安全等级保护测评准则信息系统安全等级保护测评准则 9/21/20249/21/20247676第四阶段:安全运行管理阶段阶段目标阶段目标参与角色和职责参与角色和职责实施流程实施流程阶段主要活动阶段主要活动9/21/20249/21/20247777安全运行管理- 阶段目标阶段目标通过在安全运行管理阶段实施操作管理和控制、通过在安全运行管理阶段实施操作管理和控制、变更管理和控制、安全状态监控、安全事件处置和变更管理和控制、安全状态监控、安全事件处置和应急预案、安全评估和持续改进以及监督检查等活应急预案、安全评估和持续改进以及监督检查等活动,在安全管理基本
81、要求的基础上,指导系统运行动,在安全管理基本要求的基础上,指导系统运行的动态管理。的动态管理。 9/21/20249/21/20247878安全运行管理-参与角色和职责参与角色和职责 运营、使用单位:对已经完成安全等级保护建设的运营、使用单位:对已经完成安全等级保护建设的运营、使用单位:对已经完成安全等级保护建设的运营、使用单位:对已经完成安全等级保护建设的信息系统进行维护管理,发现问题及时整改;定期信息系统进行维护管理,发现问题及时整改;定期信息系统进行维护管理,发现问题及时整改;定期信息系统进行维护管理,发现问题及时整改;定期进行安全状况检测评估,及时消除安全隐患和漏洞;进行安全状况检测评
82、估,及时消除安全隐患和漏洞;进行安全状况检测评估,及时消除安全隐患和漏洞;进行安全状况检测评估,及时消除安全隐患和漏洞;制定不同等级信息安全事件的响应、处置预案,加制定不同等级信息安全事件的响应、处置预案,加制定不同等级信息安全事件的响应、处置预案,加制定不同等级信息安全事件的响应、处置预案,加强信息系统的安全管理。强信息系统的安全管理。强信息系统的安全管理。强信息系统的安全管理。 信息安全监管机构:按照等级保护的管理规范和技信息安全监管机构:按照等级保护的管理规范和技信息安全监管机构:按照等级保护的管理规范和技信息安全监管机构:按照等级保护的管理规范和技术标准的要求,重点对第三、第四级信息系
83、统的安术标准的要求,重点对第三、第四级信息系统的安术标准的要求,重点对第三、第四级信息系统的安术标准的要求,重点对第三、第四级信息系统的安全等级保护状况进行监督检查;发现存在安全隐患全等级保护状况进行监督检查;发现存在安全隐患全等级保护状况进行监督检查;发现存在安全隐患全等级保护状况进行监督检查;发现存在安全隐患或未达到等级保护的管理规范和技术标准要求的,或未达到等级保护的管理规范和技术标准要求的,或未达到等级保护的管理规范和技术标准要求的,或未达到等级保护的管理规范和技术标准要求的,限期整改,使信息系统的安全保护措施更加完善限期整改,使信息系统的安全保护措施更加完善限期整改,使信息系统的安全
84、保护措施更加完善限期整改,使信息系统的安全保护措施更加完善 。 9/21/20249/21/20247979安全运行管理-实施流程实施流程主要输入主要输入主要输出主要输出阶段主要活动阶段主要活动操作管理和控制操作管理和控制安全详细设计方案安全详细设计方案安全组织机构表安全组织机构表操作人员角色操作人员角色/职责表职责表各类操作规程各类操作规程变更管理和控制变更管理和控制变更需求变更需求变更结果报告变更结果报告 安全状态监控安全状态监控安全详细设计方案安全详细设计方案系统验收报告等系统验收报告等安全状态分析报告安全状态分析报告 安全事件处置和应安全事件处置和应急预案急预案 安全详细设计方案安全详
85、细设计方案安全组织机构表安全组织机构表安全事件报告程序安全事件报告程序 各类应急预案各类应急预案安全事件处置报告安全事件处置报告9/21/20249/21/20248080安全运行管理-实施流程(续)实施流程(续)主要输入主要输入主要输出主要输出阶段主要活动阶段主要活动安全评估和持续改进安全评估和持续改进 安全评估报告安全评估报告安全改进方案安全改进方案等级化安全测评等级化安全测评 安全详细设计方案安全详细设计方案系统验收报告等系统验收报告等安全等级保护测评安全等级保护测评报告报告 监督检查监督检查安全详细设计方案安全详细设计方案系统验收报告等系统验收报告等监督检查结果报告监督检查结果报告 变
86、更需求变更需求9/21/20249/21/20248181阶段主要活动- 1.1.操作管理和控制操作管理和控制活动目标活动目标活动目标活动目标确保操作人员对信息系统实行正确、安全操作;确保操作人员对信息系统实行正确、安全操作;确保操作人员对信息系统实行正确、安全操作;确保操作人员对信息系统实行正确、安全操作;控制系统不断变化和种类繁多的操作活动。控制系统不断变化和种类繁多的操作活动。控制系统不断变化和种类繁多的操作活动。控制系统不断变化和种类繁多的操作活动。主要参考标准主要参考标准主要参考标准主要参考标准信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系
87、统安全等级保护基本要求GB/T xxxxx-2006 GB/T xxxxx-2006 信息系统安全通用技术要求信息系统安全通用技术要求信息系统安全通用技术要求信息系统安全通用技术要求GB/T 19716-2005 GB/T 19716-2005 信息安全管理实用规则信息安全管理实用规则信息安全管理实用规则信息安全管理实用规则GB/T 19715-2005 ITGB/T 19715-2005 IT安全管理指南安全管理指南安全管理指南安全管理指南主要活动过程主要活动过程主要活动过程主要活动过程操作职责确定操作职责确定操作职责确定操作职责确定操作过程控制操作过程控制操作过程控制操作过程控制9/21/
88、20249/21/20248282阶段主要活动- 1.1.操作管理和控制操作管理和控制操作职责确定操作职责确定划分操作角色划分操作角色授予管理权限授予管理权限安全设计详细方案安全设计详细方案安全组织机构表安全组织机构表输入输入输出输出过程的工作内容过程的工作内容操作人员角色操作人员角色和职责表和职责表定义人员职责定义人员职责9/21/20249/21/20248383阶段主要活动- 1.1.操作管理和控制操作管理和控制操作过程控制操作过程控制确定操作目的和内容确定操作目的和内容确定操作时间和地点确定操作时间和地点操作需求操作需求操作人员角色和职操作人员角色和职责表责表输入输入输出输出过程的工作
89、内容过程的工作内容各类操作规程各类操作规程操作记录操作记录选择操作方法选择操作方法建立操作规程建立操作规程记录操作过程和结果记录操作过程和结果9/21/20249/21/20248484阶段主要活动- 2.2.变更管理和控制变更管理和控制活动目标活动目标活动目标活动目标确保在发生安全配置、安全设施、系统结构和业确保在发生安全配置、安全设施、系统结构和业确保在发生安全配置、安全设施、系统结构和业确保在发生安全配置、安全设施、系统结构和业务应用等变化的时候,使用标准的方法和步骤,务应用等变化的时候,使用标准的方法和步骤,务应用等变化的时候,使用标准的方法和步骤,务应用等变化的时候,使用标准的方法和
90、步骤,尽快的实施变更;尽快的实施变更;尽快的实施变更;尽快的实施变更;确保变更所导致的信息资产安全性降低、业务中确保变更所导致的信息资产安全性降低、业务中确保变更所导致的信息资产安全性降低、业务中确保变更所导致的信息资产安全性降低、业务中断或业务影响减小到最低。断或业务影响减小到最低。断或业务影响减小到最低。断或业务影响减小到最低。主要参考标准主要参考标准主要参考标准主要参考标准信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求GB/T xxxxx-2006 GB/T xxxxx-2006 信息系统安全通用技术要求信息系统安全通用技
91、术要求信息系统安全通用技术要求信息系统安全通用技术要求GB/T 19716-2005 GB/T 19716-2005 信息安全管理实用规则信息安全管理实用规则信息安全管理实用规则信息安全管理实用规则GB/T 19715-2005 ITGB/T 19715-2005 IT安全管理指南安全管理指南安全管理指南安全管理指南主要活动过程主要活动过程主要活动过程主要活动过程变更需求和影响分析变更需求和影响分析变更需求和影响分析变更需求和影响分析变更过程控制变更过程控制变更过程控制变更过程控制9/21/20249/21/20248585阶段主要活动- 2.2.变更管理和控制变更管理和控制变更需求和影响分析
92、变更需求和影响分析变更需求分析变更需求分析识别变更种类识别变更种类变更需求变更需求输入输入输出输出过程的工作内容过程的工作内容变更方案变更方案变更影响分析变更影响分析制定变更方案制定变更方案9/21/20249/21/20248686阶段主要活动- 2.2.变更管理和控制变更管理和控制变更过程控制变更过程控制变更内容审核与审批变更内容审核与审批建立变更过程日志建立变更过程日志变更方案变更方案输入输入输出输出过程的工作内容过程的工作内容变更结果报告变更结果报告形成变更结果报告形成变更结果报告9/21/20249/21/20248787阶段主要活动- 3.3.安全状态监控安全状态监控活动目标活动目
93、标活动目标活动目标对信息系统的安全运行状态进行监控,确保信息对信息系统的安全运行状态进行监控,确保信息对信息系统的安全运行状态进行监控,确保信息对信息系统的安全运行状态进行监控,确保信息系统运行安全。系统运行安全。系统运行安全。系统运行安全。 主要参考标准主要参考标准主要参考标准主要参考标准信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求GB/T xxxxx-2006 GB/T xxxxx-2006 信息系统安全通用技术要求信息系统安全通用技术要求信息系统安全通用技术要求信息系统安全通用技术要求GB/T 19716-2005 GB
94、/T 19716-2005 信息安全管理实用规则信息安全管理实用规则信息安全管理实用规则信息安全管理实用规则GB/T 19715-2005 ITGB/T 19715-2005 IT安全管理指南安全管理指南安全管理指南安全管理指南主要活动过程主要活动过程主要活动过程主要活动过程监控对象确定监控对象确定监控对象确定监控对象确定监控对象状态信息收集监控对象状态信息收集监控对象状态信息收集监控对象状态信息收集监控状态分析和报告监控状态分析和报告监控状态分析和报告监控状态分析和报告9/21/20249/21/20248888阶段主要活动- 3.3.安全状态监控安全状态监控监控对象确定监控对象确定业务关业
95、务关键要素分析键要素分析安全关键点分析安全关键点分析安全详细设计方案安全详细设计方案系统验收报告系统验收报告输入输入输出输出过程的工作内容过程的工作内容监控对象列表监控对象列表形成监控对象列表形成监控对象列表9/21/20249/21/20248989阶段主要活动- 3.3.安全状态监控安全状态监控监控对象状态信息收集监控对象状态信息收集选择监控工具选择监控工具识别和记录入侵行为识别和记录入侵行为监控对象列表监控对象列表输入输入输出输出过程的工作内容过程的工作内容监控对象安全监控对象安全状态信息状态信息监控对象信息收集监控对象信息收集9/21/20249/21/20249090阶段主要活动-
96、3.3.安全状态监控安全状态监控监控状态分析和报告监控状态分析和报告状态分析状态分析影响程度和范围分析影响程度和范围分析监控对象安全状态监控对象安全状态信息信息输入输入输出输出过程的工作内容过程的工作内容安全状态分析安全状态分析报告报告变更需求变更需求变更需求分析变更需求分析9/21/20249/21/20249191阶段主要活动- 4.4.安全事件处置和应急预案安全事件处置和应急预案活动目标活动目标活动目标活动目标根据安全事件相关标准中规定的安全事件分级原根据安全事件相关标准中规定的安全事件分级原根据安全事件相关标准中规定的安全事件分级原根据安全事件相关标准中规定的安全事件分级原则和划分结果
97、,结合自身具体的情况酌情划分本则和划分结果,结合自身具体的情况酌情划分本则和划分结果,结合自身具体的情况酌情划分本则和划分结果,结合自身具体的情况酌情划分本单位安全事件级别;单位安全事件级别;单位安全事件级别;单位安全事件级别;建立合适的应急响应机制。建立合适的应急响应机制。建立合适的应急响应机制。建立合适的应急响应机制。 主要参考标准主要参考标准主要参考标准主要参考标准信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求GB/T xxxxx-2006 GB/T xxxxx-2006 信息系统安全通用技术要求信息系统安全通用技术要求信
98、息系统安全通用技术要求信息系统安全通用技术要求GB/T 19716-2005 GB/T 19716-2005 信息安全管理实用规则信息安全管理实用规则信息安全管理实用规则信息安全管理实用规则GB/T 19715-2005 ITGB/T 19715-2005 IT安全管理指南安全管理指南安全管理指南安全管理指南主要活动过程主要活动过程主要活动过程主要活动过程安全事件分级安全事件分级安全事件分级安全事件分级应急预案制定应急预案制定应急预案制定应急预案制定安全事件处置报告安全事件处置报告安全事件处置报告安全事件处置报告9/21/20249/21/20249292阶段主要活动- 4.4.安全事件处置和
99、应急预案安全事件处置和应急预案安全事件分级安全事件分级安全事件调查和分析安全事件调查和分析安全事件等级划分安全事件等级划分各类安全事件列表各类安全事件列表输入输入输出输出过程的工作内容过程的工作内容安全事件报告安全事件报告程序程序建立分级的事件报告流程建立分级的事件报告流程9/21/20249/21/20249393阶段主要活动- 4.4.安全事件处置和应急预案安全事件处置和应急预案应急预案制定应急预案制定确定应急预案对象确定应急预案对象确定和认可各项职责确定和认可各项职责安全事件报告程序安全事件报告程序输入输入输出输出过程的工作内容过程的工作内容各类应急预案各类应急预案制定程序和执行条件制定
100、程序和执行条件制定各类事件应急恢复措施制定各类事件应急恢复措施9/21/20249/21/20249494阶段主要活动- 4.4.安全事件处置和应急预案安全事件处置和应急预案安全事件处置安全事件处置安全事件上报安全事件上报安全事件处置安全事件处置安全状态分析报告安全状态分析报告安全事件报告程序安全事件报告程序各类应急预案各类应急预案输入输入输出输出过程的工作内容过程的工作内容安全事件处置安全事件处置报告报告安全事件影响分析安全事件影响分析安全事件总结和处置报告安全事件总结和处置报告9/21/20249/21/20249595阶段主要活动- 5.5.安全评估和持续改进安全评估和持续改进活动目标活
101、动目标活动目标活动目标确保在发生信息系统变更、安全状态改变等情况确保在发生信息系统变更、安全状态改变等情况确保在发生信息系统变更、安全状态改变等情况确保在发生信息系统变更、安全状态改变等情况后定期对信息系统进行安全评估;后定期对信息系统进行安全评估;后定期对信息系统进行安全评估;后定期对信息系统进行安全评估;确保信息系统满足相应等级安全需求和自身特殊确保信息系统满足相应等级安全需求和自身特殊确保信息系统满足相应等级安全需求和自身特殊确保信息系统满足相应等级安全需求和自身特殊安全需求。安全需求。安全需求。安全需求。主要参考标准主要参考标准主要参考标准主要参考标准信息系统安全等级保护基本要求信息系
102、统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求GB/T 19716-2005 GB/T 19716-2005 信息安全管理实用规则信息安全管理实用规则信息安全管理实用规则信息安全管理实用规则GB/T 19715-2005 ITGB/T 19715-2005 IT安全管理指南安全管理指南安全管理指南安全管理指南信息安全风险评估指南信息安全风险评估指南信息安全风险评估指南信息安全风险评估指南主要活动过程主要活动过程主要活动过程主要活动过程安全评估安全评估安全评估安全评估改进方案制定改进方案制定改进方案制定改进方案制定 安全改进实施安全改进实施安全改进实施安全改进实施
103、9/21/20249/21/20249696阶段主要活动- 5.5.安全评估和持续改进安全评估和持续改进安全评估安全评估确定评估对象和方法确定评估对象和方法制定评估计划和方案制定评估计划和方案系统详细描述文件系统详细描述文件安全状态分析报告安全状态分析报告变更结果报告变更结果报告输入输入输出输出过程的工作内容过程的工作内容安全评估报告安全评估报告实施安全评估实施安全评估汇总分析评估结果汇总分析评估结果汇总分析评估结果汇总分析评估结果提出改进建议提出改进建议9/21/20249/21/20249797阶段主要活动- 5.5.安全评估和持续改进安全评估和持续改进改进方案制定改进方案制定安全调整和改
104、进立项安全调整和改进立项制定安全改进方案制定安全改进方案安全评估报告安全评估报告输入输入输出输出过程的工作内容过程的工作内容安全改进方案安全改进方案9/21/20249/21/20249898阶段主要活动- 5.5.安全评估和持续改进安全评估和持续改进实施安全改进实施安全改进实施过程控制实施过程控制补充安全功能测试补充安全功能测试安全改进方案安全改进方案输入输入输出输出过程的工作内容过程的工作内容安全测试安全测试/验收验收报告报告相关技术文件修订相关技术文件修订相关管理制度修订相关管理制度修订9/21/20249/21/20249999阶段主要活动- 6.6.监督检查监督检查 国家信息安全监督
105、管理职能部门按照等级国家信息安全监督管理职能部门按照等级国家信息安全监督管理职能部门按照等级国家信息安全监督管理职能部门按照等级保护的管理规范和技术标准的要求,重点对第保护的管理规范和技术标准的要求,重点对第保护的管理规范和技术标准的要求,重点对第保护的管理规范和技术标准的要求,重点对第三、第四级信息和信息系统安全保护制度和措三、第四级信息和信息系统安全保护制度和措三、第四级信息和信息系统安全保护制度和措三、第四级信息和信息系统安全保护制度和措施的落实情况,以及安全现状的达标情况进行施的落实情况,以及安全现状的达标情况进行施的落实情况,以及安全现状的达标情况进行施的落实情况,以及安全现状的达标
106、情况进行监督检查。安全监督管理职能部门对信息系统监督检查。安全监督管理职能部门对信息系统监督检查。安全监督管理职能部门对信息系统监督检查。安全监督管理职能部门对信息系统安全保护等级监督检查遵循安全保护等级监督检查遵循安全保护等级监督检查遵循安全保护等级监督检查遵循“ “公平、公正、权公平、公正、权公平、公正、权公平、公正、权威、有效威、有效威、有效威、有效” ”原则,采用例行检查和专项检查相原则,采用例行检查和专项检查相原则,采用例行检查和专项检查相原则,采用例行检查和专项检查相结合的方法。结合的方法。结合的方法。结合的方法。 具体参见信息安全等级保护监督检查管具体参见信息安全等级保护监督检查
107、管具体参见信息安全等级保护监督检查管具体参见信息安全等级保护监督检查管理办法理办法理办法理办法9/21/20249/21/2024100100第五阶段:系统终止阶段阶段目标阶段目标参与角色和职责参与角色和职责实施流程实施流程主要活动过程主要活动过程9/21/20249/21/2024101101系统终止阶段-目标和角色目标和角色阶段目标阶段目标阶段目标阶段目标确保信息系统被转移、终止或废弃时,正确处理确保信息系统被转移、终止或废弃时,正确处理确保信息系统被转移、终止或废弃时,正确处理确保信息系统被转移、终止或废弃时,正确处理系统内的敏感信息;系统内的敏感信息;系统内的敏感信息;系统内的敏感信息
108、;确保组织信息资产的安全。确保组织信息资产的安全。确保组织信息资产的安全。确保组织信息资产的安全。 参与角色和职责参与角色和职责参与角色和职责参与角色和职责信息系统运营、使用单位信息系统运营、使用单位信息系统运营、使用单位信息系统运营、使用单位信息系统主管部门信息系统主管部门信息系统主管部门信息系统主管部门 9/21/20249/21/2024102102系统终止阶段-主要参考标准主要参考标准主要参考标准主要参考标准主要参考标准主要参考标准信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护基本要求GB/T 19716-2005 GB/T 1
109、9716-2005 信息安全管理实用规则信息安全管理实用规则信息安全管理实用规则信息安全管理实用规则GB/T 19715-2005 ITGB/T 19715-2005 IT安全管理指南安全管理指南安全管理指南安全管理指南9/21/20249/21/2024103103系统终止阶段-实施流程实施流程主要输入主要输入主要输出主要输出主要活动主要活动信息转移信息转移/暂存和清除暂存和清除信息资产清单信息资产清单信息转移、暂存、信息转移、暂存、清除处理记录文档清除处理记录文档设备迁移或废弃设备迁移或废弃设备迁移、废弃处设备迁移、废弃处理记录文档理记录文档介质清除或销毁介质清除或销毁信息系统介质清单信息
110、系统介质清单介质清除、销毁处介质清除、销毁处理记录文档理记录文档硬件设备清单硬件设备清单9/21/20249/21/2024104104系统终止-信息转移、暂存和清除信息转移、暂存和清除识别要转移、暂存和清识别要转移、暂存和清除的信息资产除的信息资产信息资产转移、暂存和信息资产转移、暂存和清除清除资产清单资产清单输入输入输出输出过程的工作内容过程的工作内容信息转移、暂信息转移、暂存、清除处理存、清除处理记录文档记录文档处理过程记录处理过程记录9/21/20249/21/2024105105系统终止-设备迁移或废弃设备迁移或废弃软硬件设备识别软硬件设备识别信息资产转移、暂存和信息资产转移、暂存和
111、清除清除设备迁移或废弃设备迁移或废弃清单清单输入输入输出输出过程的工作内容过程的工作内容设备迁移、废设备迁移、废弃处理报告弃处理报告设备处理和记录设备处理和记录处理方案审批处理方案审批9/21/20249/21/2024106106系统终止-介质清除或销毁识别要清除或销毁的介识别要清除或销毁的介质质确定介质处理方法和流确定介质处理方法和流程程存档介质清单存档介质清单输入输入输出输出过程的工作内容过程的工作内容介质清除或销介质清除或销毁记录文档毁记录文档介质处理和记录介质处理和记录处理方案审批处理方案审批9/21/20249/21/20241071079/21/20249/21/2024108108